개인정보 유출 사고나면 '매출액 3% 과징금'?...유통업계 "한번 맞으면 도산할 것" 반발
상태바
개인정보 유출 사고나면 '매출액 3% 과징금'?...유통업계 "한번 맞으면 도산할 것" 반발
업계 "유출사고 사전 예방 방안 마련이 급선무"
  • 황혜빈 기자 hye5210@csnews.co.kr
  • 승인 2021.12.03 07:19
  • 댓글 0
이 기사를 공유합니다


유통업계에서 개인정보 유출 사고가 잇따르고 있는 가운데 국회에서 논의 중인 '개인정보보호법 개정안'에 비상한 관심이 쏠리고 있다. 유통업계는 개정안에 담긴 매출액의 3%에 달하는 과징금 기준이 너무 높은 데다 유출사고를 사전 차단하는 방안을 마련하는 게 급선무라며 반발하고 있다. 

국무총리 소속 개인정보보호위원회는 지난 9월 28일 온라인 및 오프라인 사업자들의 개인정보에 대한 통제권을 강화하기 위해 ‘개인정보보호법 개정안’을 발의했다. 이 개정안은 지난 11월 16일 소관 상임위원회인 국회 정무위원회에 상정됐다.

이후 법안심사 소위원회에서 통과되면 법제사법위원회 심사를 거친 후 본회의에 회부돼 처리된다. 

하지만 지난 11월 23일 열린 정무위 법안심사 제1소위원회에서 처리되지 못하고 계류 중이다. 

개정안은 개인정보 유출 사고가 발생한 기업이 개인정보 분쟁조정위원회의 조사를 거부할 수 없도록 강제하는 내용과 함께 관련 과징금을 상향 조정하는 내용을 담고 있다.

현행법상 개인정보 유출 행위에 대한 과징금 상한액은 ▲위반행위와 관련한 매출액 3%지만, 개정안이 통과되면 ▲전체 매출액 3%까지로 변경된다.

유통업계는 최근 개인정보 유출 사고가 잇따르면서 정보 보호에 소홀하다는 비판을 받고 있다. 

패션 플랫폼 브랜디는 지난 11월 30일 일부 회원들의 아이디, 이름, 전화번호 등 개인정보 유출 사실에 대해 인정하며 앞으로 재발 방지 프로세스를 구축하겠다는 입장을 밝혔다.

쿠팡이츠 또한 지난 11월 29일 배달파트너들의 이름과 전화번호 등 개인정보가 음식점을 통해 유출된 사실을 확인했다. 사고 경위는 현재 조사 중이다. 쿠팡은 지난 10월 26일에도 앱 개선 작업 중 일부 회원의 이름과 주소 등 개인정보가 일시 노출돼 논란이 된 바 있다.

무신사와 GS리테일 또한 지난 11월 10일 개인정보보호위원회로부터 개인정보보호 법규 위반으로 시정조치 제재를 받았다. 무신사는 개발자 실수로 계정정보를 연동하는 과정에서 고객 개인정보가 타인에게 조회된 것으로 알려졌다. GS리테일은 개인정보가 열람 권한 없는 자에게 공개되는 등 안전조치 의무를 위반한 것으로 전해졌다.

이 때문에 개인정보보호위원회는 과징금 수위를 높여 기업들에게 경각심을 줘야 한다는 것이다. 정무위 소속 더불어민주당 김병욱 의원 측은 “최근 발생한 페이스북 개인정보 유출 사건의 경우 우리나라에서 부과된 과징금은 다른 나라 기준에 비해 한참 못 미치는 수준이었다”며 “현행법상 과징금 상한선이 세계적 기준보다 낮은 수준이기 때문에 개정이 필요한 상황”이라고 밝혔다.

개인정보보호위원회는 개인정보 유출 사고가 발생한 기업에 대해 심사를 하고 과징금을 부과한다. 세부적인 심사 기준은 개정안 통과 후 마련된다.

개정안은 총 매출액 기준으로 과징금을 부과하는 것이기 때문에 기업 입장에서는 부담이 늘어날 수 밖에 없다. 매출 규모에 따라 천문학적인 과징금이 부과될 가능성도 배제할 수 없는 상황이다. 

예컨대 연간 매출액 규모가 5조 원인 기업의 경우 과징금이 최대 1500억 원이 되는 셈이다.

유통업계는 개인정보 유출 사고를 조기에 차단하는 방안 마련이 더 시급하다는 입장이다. 기업들이 안전한 시스템을 갖출 수 있도록 지원하는 게 보다 효율적이라는 것이다.

업계 관계자는 “기업뿐 아니라 관공서 등에서도 고객 개인정보를 요구하는 경우가 많기 때문에 노출 사고가 다발하고 있다. 과징금 기준을 높이는 것도 중요하지만 근본적인 대책이 필요하다”며 “유출되고 나서 (징벌적) 과징금을 부과하는 것보다 유출 자체를 막는 게 급선무 아니겠느냐”라고 말했다.

또 다른 관계자는 “기업의 개인정보보호 관리 중요성은 절대적으로 동의하지만, 중소벤처기업의 평균 순영업이익이 2~3%인 것을 고려할 때 과징금이 전체 매출의 3%인 것은 매우 큰 부담”이라며 “징벌적 과징금 부과보다는 기업이 정보 보안 강화에 필요한 기술이나 R&D에 투자할 여력을 만들어주는 것이 장기적으로 더 도움이 되는 방향이라고 생각한다”고 주장했다.

전문가들의 의견은 엇갈린다.  

손종모 서울여대 정보보호학과 교수는 "개정안에 담긴 과징금 기준은 정부가 해외 사례 등을 조사한 후 참고해 마련한 것"이라며 "해외에서도 사전에 사고를 예방하는 것도 필요하지만 사고를 100% 막을 수 없기 때문에 사후 과징금 부과 방식으로 개인정보보호 정책을 수립했다"고 밝혔다. 

정지연 한국소비자연맹 사무총장은 "개정안에서 과징금을 전체 매출액의 3%로 설정한 것은 유럽연합(EU) 일반 개인정보보호법(GDPR)을 참고한 것"이라며 "현행법에는 '관련 매출액의 3%'을 과징금으로 부과하고 있는데 사실상 이 부분을 따로 산정하기가 어려운 부분이 있다"고 주장했다. 

그러면서 "개인정보 유출 사고가 발생한 기업에 대해 심사를 거친 후 과징금을 부과하는 것이기 때문에 기업에서 우려하는 문제는 벌어지지 않을 것"이라며 "잘못했을 때 받게 되는 데미지가 커야 불법행위가 억제될 수 있다. 과징금을 상향 조정한 것은 과도하게 보여지지 않는다"라고 강조했다. 

반면 권세화 한국인터넷기업협회 실장은 "전체 매출액의 3%라는 과징금 기준은 행정부처가 관련 매출액 산정이 어렵다는 이유로 편의를 위해 마련한 것"이라며 "삼성전자의 경우 지난해 매출액이 200조가 넘는데 전체 매출액 기준으로는 과징금을 최대 6조 원까지 매길 수 있다"고 꼬집었다. 

이어 "유럽 기준을 들여온 거라고 하는데 해외와 우리나라는 과징금 기준을 엄연히 다르게 설정해야 한다"며 "우리나라 대부분 기업의 영업이익률이 10%가 되지 않고, 소기업 같은 경우 영업이익률이 1~2% 수준인데 과징금 한 번 맞으면 도산 위기에 처할 수 있다"고 말했다.

아울러 그는 "개인정보 유출 사례가 많은 건 어쩔 수 없지만 기업들도 일부러 그러는 게 아닌데 정부가 나서서 입맛대로 기업의 존폐업을 결정하고 있다"라며 강도 높게 비판했다.

[소비자가만드는신문=황혜빈 기자]


주요기사